Historia clínica y protección de datos en España

Son muchas las cuestiones que se plantea el profesional médico sobre la privacidad de la historia clínica, o historia clínica digital y la protección de datos. En este artículo vamos a tratar algunas de ellas y a resolver tus dudas.

Tipos de datos que se recopilan en asistencia sanitaria 

Los datos que recoge un centro de salud sobre sus pacientes se pueden clasificar en:

Datos personales identificativos: Aquellos que identifican al usuario como su nombre, DNI, número de su tarjeta sanitaria, y otros.

Datos personales relativos a la salud: Estado de salud del paciente, antecedentes, pruebas diagnósticas, cirugías, y otros.

Todos estos datos son recogidos en la historia clínica. En ella, además de los datos antes mencionados, se incorporan valoraciones médicas, la identificación de los profesionales sanitarios que han intervenido en el cuidado del paciente, pruebas médicas, y cualquier otra información necesaria para el conocimiento actualizado de su estado de salud. 

Además de esto, puede haber diferencias si hablamos de historia clínica pediátrica, en el área de la salud mental mental u otros.

En este contexto es importante tener en cuenta que los datos personales relativos a la salud son considerados por el RGPD (Reglamento General de protección de datos) dentro de la categoría de datos sensibles. Por ello, están sujetos a condiciones de tratamiento específica que trataremos a continuación.

Historia clínica y de la protección de datos: ¿Quién es el responsable?

La AEPD (Agencia Española de Protección de Datos) aclara en su guía para pacientes y usuarios de centros sanitarios que:  

Son los profesionales médicos y centros de atención sanitaria los encargados de velar por su seguridad y por la privacidad de los datos de la historia médica del paciente.

Por este motivo, tanto los profesionales de la salud como los centros médicos son cada vez más conscientes de la responsabilidad y complejidad asociadas al tratamiento y almacenamiento de estos datos médicos. Y esto les lleva a optar cada vez más por la historia clínica digital como la mejor opción para la protección de datos de salud y datos personales del paciente.

Quien puede tener acceso a la historia clínica del paciente

Sobre el acceso a los datos recogidos en la historia clínica del paciente y a su correcta aplicación de la ley de protección de datos que vela por ellos, se debe tener en cuenta que sólo un grupo pueden tener acceso a ella un grupo limitado de personas o entidades y, cada una, por una circunstancia diferente y adecuadamente justificada. Así, podrán tener acceso a esta documentación clínica:

• El paciente.
• El personal sanitario para garantizar una adecuada asistencia sanitaria y cuidado del paciente. Ver Profesionales Sanitarios en el sistema de salud español
• Personal de administración del centro médico. Siendo responsable el centro sanitario de que sólo tengan acceso a información necesaria para realizar las tareas asignadas a su área.
• Tribunales de justicia y jueces. Siempre en el ejercicio de sus funciones de investigación y resolución de procesos judiciales.
• Autoridades sanitarias con fines epidemiológicos o de sanidad pública. 
• Investigadores.  Teniendo en cuenta que debe revisarse la normativa de protección de datos para saber en qué casos se requiere de la autorización del paciente o de la anonimización de sus datos.

Derecho del paciente a consultar o rectificar su historia clínica

El paciente puede ejercitar su derecho de acceso a los datos de su historia clínica.

Aún así, no existe obligación por parte del centro médico o sanitario de entregar la información completa contenida en el historial. Existe información que se puede o debe excluir para mantener la confidencialidad o privacidad de los datos de terceros:

Datos de los profesionales que han consultado la historia clínica del paciente. Aún así, el centro médico sí debe velar por la trazabilidad de estos datos por motivos de seguridad y privacidad relacionada con estos datos.

Los profesionales sanitarios tienen derecho a mantener la privacidad de las anotaciones subjetivas que han incluido en la historia clínica. Si dicho profesional no lo aprueba, deberá excluirse de la copia del historial proporcionado al usuario que la solicita.

Datos de terceras personas. Por ejemplo, los relativos al entorno personal o laboral del paciente. O a otros usuarios de la sanidad que se han relacionado con el usuario en un periodo de hospitalización. 

El paciente también tiene  derecho a solicitar que un dato de su historia clínica se cancele o rectifique. Aún así, será el médico, atendiendo a la importancia de estos datos para tener un conocimiento veraz de su estado de salud, quien decida si el dato puede, o no, eliminarse del historial.

Cómo implementar medidas de seguridad para la historia clínica almacenada digitalmente 

La atención a la ciberseguridad de los datos médicos en el sector de la salud es clave para proteger la privacidad de los datos incluidos en la historia clínica del paciente.

Como hemos visto al inicio de este artículo, la normativa de seguridad de datos médicos en España nos indica que:

«Son el centro médico, y los profesionales que trabajan en él, los responsables de velar por su seguridad y por la privacidad de los datos de la historia médica del paciente».

Por eso, si tu centro médico ya cuenta con una solución para la digitalización de la historia clínica de tus pacientes, hay algunos aspectos relacionados con la seguridad informática que deberías tener en cuenta. Entre ellos, los backups de datos clínicos.

La importancia de las personas en la aplicación de elementos de ciberseguridad

La ciberseguridad hace referencia a acciones destinadas a evitar incrementar la protección de equipos informáticos y las conexiones que utilizamos para almacenar y tratar la información.

Su objetivo es evitar la pérdida o secuestro de los datos. Y para aplicarla es fundamental contar con la colaboración del equipo que cada día utiliza la información de los pacientes del centro médico.

Las personas son, en muchos casos, el elemento más vulnerable entorno de seguridad, convirtiéndose en la puerta de entrada de elementos maliciosos dentro del sistema informático del centro médico.

Formar al equipo de usuarios en buenas prácticas de seguridad y animarles a llevarlas a cabo es, sin duda, una de las mejores inversiones en seguridad informática que puede realizar tu centro médico.

Así, podemos afirmar que para cumplir con la Ley de Protección de Datos Médicos debes contar con la colaboración de todo el equipo con el que trabajas.

Poner en marcha la aplicación de medidas de ciberseguridad básicas con las que debe contar todo centro sanitario

Hay medidas básicas de seguridad para proteger los datos de los pacientes y de la historia clínica con los que debe contar todo centro sanitario:

Habilitar un acceso seguro y personal para cada usuario,  y con distintos permisos de acceso a la información

Deja atrás el uso de usuarios y contraseñas compartidas. Para cumplir con la normativa que vela por la confidencialidad de los datos del paciente es necesario habilitar un usuario y contraseñas distintos para cada profesional.

Además, es importante aplicar reglas que impidan a los usuarios usar secuencias de números (7890) o de letras en el teclado (asdfg). Adicionalmente, los usuarios deben saber que no deben usar información personal para establecer sus contraseñas. 

Por último, el sistema de almacenamiento de la información debe permitir otorgar a cada usuario los accesos estrictamente necesarios para el desempeño de sus funciones.

Uso de antivirus y sistemas de protección de red

El uso de antivirus o antimalware evita, en muchos casos, el robo de datos y la posibilidad de acceso a información de usuarios externos al centro médico. 

Gran parte del software malicioso que se introduce en los sistemas de almacenamiento de información se encuentra en correos, webs o archivos usados por el personal del centro médico. Por esto es importante, como se ha comentado más arriba, formar al personal en buenas prácticas. Sólo así se podrá evitar que se abran correos o archivos que infectan el sistema poniendo en peligro la privacidad de los datos médicos de los pacientes.

Uso de servicios de almacenamiento y gestión de información en la nube

Los centros médico-sanitarios cuentan en la actualidad con opciones de gestión y almacenamiento de datos sanitarios en la nube como igaleno. 

Una de las grandes ventajas del uso de estas soluciones es que es el proveedor el que se ocupa de mantener la seguridad de los sistemas de información sin que el centro médico deba ocuparse de ello.Gracias  a las soluciones de gestión de datos médicos en los centros sanitarios pueden disfrutar de altos estándares de seguridad, además de cumplir con el RGPD, sin necesidad de preocuparse por ello. Si aún no conoces nuestra solución, solicita aquí tu demo gratuita.

Te puede interesar:

Guía rápida para proteger los datos de tus pacientes

Ciberseguridad de datos clínicos

Backups de datos sanitarios

Descarga GRATIS la Guía de Funcionalidades de igaleno

Y averigua cómo puede ayudarte nuestro SOFTWARE MÉDICO DE GESTIÓN EN LA NUBE a mejorar el rendimiento de tu centro médico. 

Tipo de Centro MédicoConsultaClínicaPoliclínicaEquipo de Profesionales

EspecialidadFisioterapiaGinecologíaM. GeneralM. IntensivaOdontologíaPediatríaPodologíaPsicologíaPsiquiatríaTraumatologíaCentro de EstéticaConsulta de NutriciónOtra

¿Quieres asistir a una demo?Sí, quiero cambiar mi software de gestiónSí, aún no uso un software de gestión médicaNo estoy valorando opciones

Tratamiento de datos He leído y acepto la Política de Privacidad

DESCARGAR LA GUÍA

Hemos enviado el link de descarga a la dirección de correo electrónico que nos has facilitado.

NEOCLINIC INFORMÁTICA SANITARIA, S.L Fines y legitimación del tratamiento: Envío de comunicaciones con el consentimiento del interesado. Conservación de los datos: Se conservarán durante no más tiempo del necesario para mantener el fin del tratamiento o existan prescripciones legales que dictaminen su custodia. Comunicación de los datos: No se comunicarán los datos a terceros, salvo obligación legal. Derechos del Usuario: Derecho a retirar el consentimiento, de acceso, rectificación, portabilidad y supresión de sus datos, y de limitación u oposición a su tratamiento. Datos de contacto para ejercer sus derechos: Email: rgpd@igaleno.com. Consultar información adicional sobre nuestra política de protección de datos aquí: Política de Privacidad.